首页业界动态通用技术技术文章-ISA技术文章-ISA 2006ForeFront TMG相关下载 登录论坛 @联系我们
ISA中文站 > 信息 > 通用技术 > 分离的DNS服务及其部署
现在时间是: 2018-11-17 19:35
分离的DNS服务及其部署

(2005-05-14 20:23)
来源:ISA中文站

分离的DNS服务及其部署

 

内容概要:当你对Internet发布了内部网络中的服务时,可能你的用户会有抱怨:远程客户可以正常的访问你发布到Internet的服务,但是位于内部网络的用户却不能正常的访问这些服务。这个时候,你可能需要在你的网络中部署分离的DNS服务。

当你对Internet发布了内部网络中的服务时,可能你的用户会有抱怨:远程客户可以正常的访问你发布到Internet的服务,但是位于内部网络的用户却不能访问这些服务,Why?

如下图所示,内部网络地址范围为10.2.1.0/24,在ISA上对Internet发布了内部网络中Web服务器(10.2.1.5)上的Web站点www.isacn.org,在Internet的DNS服务器上解析www.isacn.org为ISA服务器的外部IP地址39.1.1.8。

此时,外部Internet上的客户(39.1.1.9)可以正常的访问ISA防火墙上发布的Web站点www.isacn.org,

但是内部网络中的SNat客户(10.2.1.9)却不可以,

为什么呢?

内部网络中的SNat客户(10.2.1.9)和外部的客户(39.1.1.9)使用的是相同的DNS服务器(39.1.1.9),当内部的SNat客户(10.2.1.9)解析域名www.isacn.org时,结果和外部客户(39.1.1.9)一样,是ISA防火墙的外部接口IP地址39.1.1.8。于是,内部SNat客户(10.2.1.9)向ISA防火墙的外部接口(39.1.1.8)发起连接,当ISA防火墙接收到此连接请求时,会根据发布规则的设置转发给内部网络中的Web服务器(10.2.1.5)。

问题的关键在于,此时Web服务器(10.2.1.5)直接对SNat客户(10.2.1.9)的连接请求发出响应。ISA防火墙转发给Web服务器的连接请求的源地址是内部SNat客户的IP地址(10.2.1.9),Web服务器(10.2.1.5)识别出此IP地址(10.2.1.9)和自己位于相同的子网内,所以直接向此IP地址发送连接响应。但是Snat客户计算机(10.2.1.9)会丢弃Web服务器(10.2.1.5)直接发送给它的连接响应,因为它的连接请求是发送到ISA防火墙的外部IP地址(39.1.1.8)而不是Web服务器的IP地址(10.2.1.5)。对于Snat客户计算机而言,Web服务器发送给它的连接响应不是它发起的,所以它会丢弃此连接响应



作者:风间子
责任编辑:风间子

[1] [2] 下一页>>
上一篇:How to :使用BWM来对不同的客户端实现带宽控制
下一篇:Windows下的邮件服务器性能评测
相关信息:

ISA Server 2004的故障恢复
How to :使用ARP命令来绑定IP和MAC地址
Windows下的邮件服务器性能评测
史上最强的NAT软件横向评测!
浅谈ISA Server 2004、KWF中的路由

热点信息 TOP 10
带宽管理软件 Bandwidth Splitter 使用指南
How to :使用ARP命令来绑定IP和MAC地址
SoftPerfect Bandwidth Manager(BWM)使用指南
How to :使用SoftPerfect Bandwidth Manager来实现带宽控制 v2.0
最强的监控软件Kerio Network Monitor完全使用教程
史上最强的NAT软件横向评测!
建立内部的DNS服务器
How to :使用Bandwidth Controller来实现带宽控制 v1.1
Windows下的邮件服务器性能评测
Kerio Winroute Firewall 6.01 VPN使用详解

搜索 SEARCH
关键字:
包含:
搜索于:


Copyright © ISACN.ORG 2004-2018 All Rights Reserved..